Apple heeft vannacht een update uitgebracht voor het ernstige Bash-lek in Mac OS X. Via de kwetsbaarheid die vorige week werd ontdekt zou een aanvaller volgens Apple in bepaalde gevallen op afstand willekeurige shell commando's kunnen uitvoeren.

Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Het is in op Unix-gebaseerde systemen aanwezig, waaronder Linux en Mac OS X. Apple liet vorige week al weten dat Mac OS X-gebruikers standaard geen risico lopen. Alleen als er bepaalde services werden gedraaid zou een aanvaller het lek kunnen misbruiken.

Na het eerste Bash-lek bleken er in het programma nog meerdere problemen aanwezig te zijn, die elk een apart CVE-nummer kregen toegekend. In totaal zijn er vijf CVE-nummers uitgedeeld, te weten CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 en CVE-2014-7187. De update van Apple verhelpt CVE-2014-6271 en CVE-2014-7169.

Apple merkt op dat de update ook de in CVE-2014-7169 gesuggereerde verandering bevat die de parser-staat reset. Daarnaast voegt de update ook een extra maatregel toe die het onbedoeld doorsturen van headers naar Bash moet voorkomen. De update is beschikbaar voor OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 en OS X Mavericks v10.9.5.

Bron: Security.nl